Documentation sur Oracle Cloud Infrastructure

Connexion aux noeuds de grappe avec des adresses IP privées

Par défaut, des adresses IP privées sont affectées aux noeuds de la grappe qui ne sont donc pas accessibles publiquement sur Internet. Vous pouvez les rendre disponibles de l'une des façons décrites dans les rubriques suivantes :

Mapper une adresse IP privée à une adresse IP publique

Par défaut, des adresses IP privées, qui ne sont pas accessibles à partir de l'Internet public, sont affectées aux noeuds du service de mégadonnées. Vous pouvez rendre un noeud accessible à partir d'Internet en mappant son adresse IP privée à une adresse IP publique.

Les instructions ci-dessous utilisent Cloud Shell pour Oracle Cloud Infrastructure, qui est un terminal Web basé sur le navigateur accessible à partir de la console Oracle Cloud. Vous recueillerez des informations sur votre réseau et vos noeuds de grappe, puis les transmettrez aux commandes de l'interpréteur de commandes. Pour effectuer cette tâche, une grappe doit être exécutée dans un VCN de votre location, et cette grappe doit disposer d'un sous-réseau régional public.

Pour voir les informations sur la grappe, voir Obtention des détails d'une grappe.

Privilèges GIA requis pour le mappage d'adresses IP privées et publiques

Attention

Il s'agit de l'un des moyens d'attacher une adresse IP publique à un noeud. Cependant, nous ne recommandons pas d'utiliser cette méthode en raison de l'augmentation des risques d'attaque. Nous vous recommandons d'utiliser l'une des autres options suivantes :

Vous devez disposer des privilèges appropriés de gestion des identités et des accès (privilèges GIA) pour Oracle Infrastructure pour mapper des adresses IP privées et publiques.

L'administrateur de la location ou un administrateur délégué disposant des privilèges appropriés doit créer une politique selon les directives suivantes.

Groupe

La politique peut affecter à tout groupe du service de mégadonnées des privilèges autorisant ses membres à mapper des adresses IP.

Autorisations

La politique doit contenir des énoncés avec les autorisations IAM suivantes :
  • vnic_read
  • private_ip_read
  • public_ip_read
  • public_ip_delete
  • public_ip_create
  • public_ip_update
  • private_ip_assign_public_ip
  • private_ip_unassign_public_ip
  • public_ip_assign_private_ip
  • public_ip_unassign_private_ip

Ressource

La politique doit spécifier tenancy ou <compartment_name>, le nom du compartiment contenant le sous-réseau utilisé pour les adresses IP.

Exemple

allow group bds_net_admins to vnic_read in tenancy
allow group bds_net_admins to private_ip_read in tenancy
allow group bds_net_admins to public_ip_read in tenancy
allow group bds_net_admins to public_ip_delete in tenancy
allow group bds_net_admins to public_ip_create in tenancy 
allow group bds_net_admins to public_ip_update in tenancy 
allow group bds_net_admins to private_ip_assign_public_ip in tenancy 
allow group bds_net_admins to private_ip_unassign_public_ip in tenancy 
allow group bds_net_admins to public_ip_assign_private_ip in tenancy
allow group bds_net_admins to public_ip_unassign_private_ip in tenancy

Mappage de l'adresse IP privée à une adresse IP publique

  1. Dans la console en nuage, sélectionnez l'icône Cloud Shell Cloud Shell en haut de la page. La connexion et l'authentification peuvent prendre quelques instants.

    1. export DISPLAY_NAME=<display-name>

      export SUBNET_OCID=<subnet-ocid>

      export PRIVATE_IP=<ip-address>

      oci network public-ip create --display-name $DISPLAY_NAME --compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime "RESERVED" --private-ip-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`

      Les énoncés export définissent des variables qui sont utilisées dans la commande oci network qui suit. Les variables sont les suivantes :

      • <display-name> (facultatif) est un "nom convivial" joint à l'adresse IP publique réservée. Ce nom n'est pas préexistant, il est créé lors de l'exécution de cette commande.

        Pour plus de commodité, vous pouvez utiliser le nom du noeud dont vous mappez l'adresse IP privée, par exemple myclusun0, qui est le nom du premier noeud d'utilitaire d'une grappe nommée mycluster.

      • <subnet-ocid> est l'OCID du sous-réseau public client utilisé par la grappe; par exemple, ocid1.subnet.oc1.iad....

      • <ip-address> est l'adresse IP privée affectée au noeud que vous voulez mapper; par exemple, 192.0.2.1.

      Entrez la commande commençant par oci network public-ip create --compartment-id... exactement comme indiqué ci-dessus, sans interruption.

      Exemple :

      $ export DISPLAY_NAME="myclustun0"
$ export SUBNET_OCID="ocid1.subnet.oc1.…"
$ export PRIVATE_IP="192.0.2.1"
$ oci network public-ip create --display-name $DISPLAY_NAME --
compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-
address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime 
"RESERVED" - private-ip-id `oci network private-ip list --subnet-id 
$SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`
      La sortie retournée se présente comme suit :
      { "data": {
    "assigned-entity-id": "ocid1.privateip.oc1...",
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.oc1...",
    "defined-tags": {},
    "display-name": "publicip...",
    "freeform-tags": {},
    "id": "ocid1.publicip.oc1....",
    "ip-address": "203.0.113.1",
    "lifecycle-state": "ASSIGNED",
    "lifetime": "RESERVED",
    "private-ip-id": "ocid1.privateip....",
    "scope": "REGION",
    "time-created": "2020-04-13..."
   },
   "etag": "1234abcd" 
}
  2. Dans la sortie retournée, recherchez la valeur ip-address. Dans l'exemple ci-dessus, il s'agit de 203.0.113.1. Il s'agit de la nouvelle adresse IP publique réservée mappée à l'adresse IP privée du noeud.
  3. Pour voir l'adresse IP publique réservée dans la console, sélectionnez le menu de navigation menu de navigation.
  4. Sous Réseau, sélectionnez Réseaux en nuage virtuels.
  5. Dans la liste de navigation à gauche, sous Réseau, sélectionnez Gestion des adresses IP.
    La nouvelle adresse IP publique réservée apparaît dans la liste Adresses IP publiques réservées. Si vous avez fourni un nom d'affichage dans la commande exécutée ci-dessus, ce nom s'affiche dans la colonne Nom. Sinon, un nom tel que publicipnnnnnnnnn est généré.

Suppression d'une adresse IP publique

  1. Dans la console en nuage, sélectionnez l'icône Cloud Shell Cloud Shell en haut de la page. La connexion et l'authentification peuvent prendre quelques instants.
  2. Exécutez oci network public-ip delete --public-ip-id ocid1.publicip.oc1....

    La valeur --public-ip-id est affichée dans la sortie retournée par la commande précédente, comme indiqué ci-dessus : :"id": "ocid1.publicip.oc1....",.

  3. (Facultatif) Vous pouvez également aller à la page Adresses IP publiques réservées du service de réseau dans la console Cloud et y supprimer les adresses IP publiques réservées.

Ouverture de ports pour rendre les services disponibles

Il ne suffit pas de rendre le noeud accessible publiquement pour mettre un service comme Apache Ambari à disposition sur Internet. Vous devez également ouvrir le port du service en ajoutant une règle de trafic entrant à une liste de sécurité. Voir Définition des règles de sécurité.

Utiliser un hôte bastion pour la connexion au service de mégadonnées

Vous pouvez utiliser un hôte bastion pour fournir un accès au réseau privé d'une grappe à partir de l'Internet public.

Un hôte bastion est une instance de calcul qui sert de point d'entrée public pour accéder à un réseau privé à partir de réseaux externes comme Internet. Le trafic doit circuler dans l'hôte bastion pour accéder au réseau privé. Vous pouvez configurer des mécanismes de sécurité sur le bastion pour gérer ce trafic. Pour plus d'informations, voir Service d'hôte bastion.

Utiliser un RPV site-à-site d'Oracle Cloud Infrastructure pour la connexion au service de mégadonnées

Un RPV site-à-site fournit un RPV site-à-site IPSec entre votre réseau sur place et votre réseau en nuage virtuel (VCN). La suite de protocoles IPSec chiffre le trafic IP avant le transfert des paquets de la source à la destination, puis le déchiffre à son arrivée.

Pour plus de détails sur la connexion au service de mégadonnées avec un RPV, voir RPV site-à-site.

Utiliser Oracle Cloud Infrastructure FastConnect pour la connexion au service de mégadonnées

FastConnect vous permet d'accéder aux services publics dans Oracle Cloud Infrastructure sans utiliser Internet; par exemple, d'accéder au service de stockage d'objets, ou à la console et aux API Oracle Cloud. Sans FastConnect, le trafic à destination des adresses IP publiques serait acheminé sur Internet. Avec FastConnect, ce trafic passe par votre connexion physique privée.

Pour plus de détails sur la connexion au service de mégadonnées avec Oracle Cloud Infrastructure FastConnect, voir Aperçu de FastConnect.